Thanos

yes!! jusque là c'est tout bon en attente du rapport de scan en ligne pour s'assurer que tout est bon. bonne nuit @ toi

ok! ca m'a l'air pas mal. Pour vérification, poste moi deux rapports stp > 1) Refais un scan en ligne Kapersky et poste le rapport. 2) Relance une recherche avec Regsearch sur les éléments suivant > atmapi nview.dll access.cni mwrem.cin puis poste le résultat. Est ce que les fichiers incriminés ont réapparu ?

1) Tu vas ajouter une adresse dans ton fichier Hosts. Ouvre Hijackthis et clique sur "Open the misc tools section" Clique sur "Open hosts file manager"> une fenêtre va s'ouvrir avec le contenu du fichier Hosts Clique sur le bouton "Open in notepad" A présent le fichier Hosts lui même s'ouvre. Ajoute la ligne suivante après 127.0.0.1 localhost (sans le mot CITATION) > Clique ensuite sur Fichier puis Enregistrer Tu peux fermer Hijackthis ainsi que le fichier Hosts Note: il y a 7 espaces entre 127.0.0.1 et 213.21.215.214 malheureusement je ne parviens pas à l'afficher comme je voudrais! (regarde les autres adresses dans le fichier pour te repérer) 2) Stp rend toi sur cette page afin de télécharger le fichier usrntfix.reg > http://www.sendspace.com/file/f8y7e6 pour cela, clique sur le lien en bas de page > Download Link: usrntfix.reg Double clique sur le fichier usrntfix.reg et accepte la fusion avec le registre. 3) Télécharger The Avenger par Swandog46 sur votre Bureau. Click sur Avenger.zip pour ouvrir le fichier Extraire avenger.exe sur votre bureau a). Copier tout le texte de la boîte ci-dessous (sans le mot "code") : mettre en surbrillance et appuyer sur les touches(Ctrl+C): Drivers to unload: atmapi Files to Delete: C:\WINDOWS\System32\drivers\atmapi.sys C:\WINDOWS\nview.dll C:\WINDOWS\nibble.exe C:\Windows\Prefetch\NIBBLE.EXE-02551F7B.pf C:\Documents and Settings\Turhan\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V\nibble[1].exe C:\WINDOWS\Help\mwrem.cin C:\WINDOWS\Help\access.cni Registry keys to delete: HKEY_LOCAL_MACHINE\SOFTWARE\1 HKEY_LOCAL_MACHINE\SOFTWARE\2 Registry values to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | zwpInit_Dlls Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. b). Maintenant, lancer The Avenger en cliquant sur son icône du bureau. Sous "Script file to execute" choisir "Input Script Manually". Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script" Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V). Cliquer Done ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script Répondre "Yes" deux fois quand demandé. c). The Avenger va automatiquement faire ce qui suit: Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.) Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL. Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip. Poste moi le rapport Avenger stp, ainsi qu'un nouveau rapport hijackthis fait comme ceci > Lance HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique sur Generate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici.

ok à présent, je te prépare une procédure

merci! je vais te demander aussi de faire la recherche avec Regsearch sur les éléments suivants > double clique sur RegSearch.exe copie colle les entrées en bleu dans les lignes de la zone de recherche: (n'entre qu'un seul élément par ligne!) nview.dll nibble.exe atmapi.sys rien dans la ligne "Enter string to exclude from results" et clique sur "OK". après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch copie-colle le contenu de la fenêtre dans un post, ici ferme le bloc-notes et ferme RegSearch par Cancel Si la manipulation ne marche pas, entre les éléments un par un.

salut Ok, le rapport montre bien que l'infection a été supprimée. * Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes : O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O18 - Filter: text/html - (no CLSID) - (no file) -Ferme tous les programmes et clique sur "Fix Checked" Attention à ne pas oublier que ce qu'on a fait visait à traiter l'infection! Je veux dire par là que le problème que tu évoquais en début de topic peut avoir d'autres origines... Info importante qu'il faut retenir pour ne pas retomber dans le piège (si c'est une autre personne qui a téléchargé le logiciel responsable de l'infection, communique lui l'info!!) > L'infection qui a pourri tes surfs se nomme Magic Control Agent comme je te disait plus haut . Cette infection est véhiculée par des logiciels qu'il faut fuir absolument!! en voici une liste non exhaustive pour ne pas tomber dans le piège à nouveau > go-astro GoRecord HotTVPlayer MailSkinner Messenger Skinner Instant Access InternetGameBox sudoplanet Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/ D'une manière générale, méfie toi des utilitaires que tu télécharges!!Utilise Google pour voir si c'e n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée. Par exemple : fais une recherche sur MessengerSkinner et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives .... Plus d'infos sur le site de Malekal Morte dont les infos sont tirées > http://www.malekal.com/popupsintempestives.php Voilà une autre liste (chez Assiste.com)que tu peux consulter avant d'installer un antispyware si tu es amené à le faire : elle recense tout un tas de faux utilitaires qui n'ont aucune efficacité, et qui peuvent même être dangereux car pas fiables : http://assiste.com.free.fr/p/craptheque/craptheque.html D'autres apparaissent chaque jour(ou presque) ! aussi une recherche encore une fois avant d'installer quoique ce soit!! Désactive puis réactive la restauration système comme ceci => aide visuelle Désinstalle navilog en passant par le Panneau de Configuration > Ajouter/Supprimer des Programmes. @+

ok! on a reçu de l'aide pour ce problème de régénération d'infection : c'est plus compliqué que prevu On va faire une recherche dans la base de registre stp > - Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) dézippe dans un répertoire dédié tel que C:\Program Files double clique sur RegSearch.exe copie colle les entrées en bleu dans les lignes de la zone de recherche: (n'entre qu'un seul élément par ligne!) access.cni mwrem.cin rien dans la ligne "Enter string to exclude from results" et clique sur "OK". après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch copie-colle le contenu de la fenêtre dans un post, ici ferme le bloc-notes et ferme RegSearch par Cancel Si la manipulation ne marche pas, entre les éléments un par un.

Re! misère!! ca sera bien la première fois qu'escan élimine un fichier légitime! ceci est dû au malware lui même qui a modifié des registres. le malware utilise bien des noms de fichiers qui appartiennent à Windows, mais ceux ci ne sont pas placés au bon endroit!(ce qui fait toute la différence ) Tu trouveras un C:\WINDOWS\smss.exe alors que le fichier légitime se trouve dans System32... Est ce que tu as reçu un message au démarrage te disant qu'un fichier était manquant ? (NTLDR est manquant ou endommagé ?) Si tu possèdes le cd d'XP, voilà ce que tu vas faire > 1) Met le cd d'Xp dans le lecteur et redémarre le pc, puis suis les infos sur cette page afin d'accéder à la console de récupération de Windows > http://www.zebulon.fr/dossiers/61-3-demarr...cuperation.html 2) Quelques infos sur l'utilisation de la console de récupération (répond au questions qui te sont posées afin de la démarrer) > http://www.zebulon.fr/dossiers/61-4-utilis...cuperation.html 3) Une fois dans la console, tape ceci > fixboot c: puis clique sur la touche [Entrée] A la demande de confirmation, répond O En image ici > http://www.zebulon.fr/dossiers/61-6-repare...cteur-boot.html Une fois ceci fait, redémarre le pc : le problème doit être rêglé. Si ca fonctionne, tu peux poste le rapports demandés Dis moi ce qu'il en est stp: si ca ne fonctionne pas, on fera autrement

cestvert, essaie ceci stp > Télécharge SeDebug-Restore.exe et sauvegarde le fichier sur ton bureau. Double clique sur SeDebug-Restore.exe et laisse le faire son travail. Lorsque c'est terminé, redémarre ta machine manuellement : c'est très important! Dis moi ce qu'il en est.

misère!! turhan: tu as expédié une copie de ce fichier et j'attend pour voir si j'ai des infos supplémentaires. Je te les poste dès que possible

Oui : l'infection résiste! On va scanner ton pc en mode sans échec avec un antivirus puissant (il ne protègera pas ton pc, on s'en sert juste pour scanner et nettoyer). Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier Smitfraud-C très récalcitrant (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: Étape 1: -Expédie stp le dossier suivant présent sur ton bureau > un fichier zippé nommé Submit [Date Heure].zip > à l'adresse suivante > http://upload.malekal.com clique sur parcourir et sélectionne Submit [Date Heure].zip sur le bureau. Laisse le répertoire de destination tel quel. Clic sur envoyer fichier Merci Si tu ne trouves pas ce fichier, rend toi dans le répertoire C:\ puis fais un clic droit sur le dossier Qoobox > choisis Envoyer vers > dossiers compressés > un fichier zip va apparaitre (Qoobox) > expédie le à la même adresse. -Télécharge ATF Cleaner by Atribune sur ton bureau. -Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads). 4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre le PC, impérativement en mode sans échec. Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement > Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur la touche [Entrée]. Choisis ton compte usuel, et non Administrateur Étape 4: Double-clique sur ATF Cleaner afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Étape 5: Du mode Sans Échec, voici comment utiliser escan antivirus toolkit : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Étape 6: Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse. Relance ComboFix et hijackthis et poste les rapports stp. Courage

ok, il n'y a rien de plus dans le rapport posté. On va retenter la suppression en ajoutant le fichier présent dans le Prefetch > Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\nibble.exe C:\Windows\Prefetch\NIBBLE.EXE-02551F7B.pf C:\Documents and Settings\Turhan\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V\nibble[1].exe Double-clique sur OTMoveIt.exe afin de lancer le programme. Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée Fais un Clique-droit sur le cadre de gauche puis choisis Coller. Clique à présent sur le bouton "MoveIt!". Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ Le nom du rapport est la date de sa création. poste le rapport de OtMoveIt stp et constate après recherche si les fichiers sont encore présents

ok: l'infection semble éradiquée: poste moi stp un dernier rapport DiagHelp stp et fais ce scan en ligne > Fais un scan en ligne Kaspersky avec Internet Explorer : Clique sur Clique maintenant sur J'accepte. Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. Patiente pendant l'installation des Mises à jour. Choisis par la suite l'analyse du Poste de travail Sauvegarde puis colle le rapport généré en fin d'analyse. AIDE : Configurer le contrôle des ActiveX Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Je vais voir pour ce problème de droits : est ce que tu reçois un message d'erreur lorsque tu veux installer une nouvelle application ?

pas grave continue et saute cette étape.

salut escan a bien bossé! Le fichier a réapparu?? J'aimerai que tu me poste ce rapport stp > Télécharge SRENG sur ton bureau. 1. Dézippe le fichier sur le bureau et double clique sur le fichier SREng.exe 2. Selectionne 'Smart Scan' . 3. Clique sur le bouton [scan] 4. Lorsque le scan est termliné, clique sur le bouton [save Reports] et sauvegarde le rapport sur ton bureau 5. Poste le rapport : il se nomme SRENG.log

salut Ok on réessaie avec ce nouveau script stp de la même manière > 1) Vas dans le menu Démarrer/Executer et tu tapes : services.msc Cherche le service suivant: MsNet Service Double clique dessus: -dans le champs"Status du service" sélectionne "arrêté" -dans le champs"Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis"ok" Quitte les services. 2) Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/ltane4 pour cela, clique sur le lien en bas de page > Download Link: CFScript Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt 3) poste le rapport de Combofix et refais un scan avec Hijackthis comme celui fait un post plus haut courage

Poste moi les deux rapports suivants stp > 1) Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/3kvvgq pour cela, clique sur le lien en bas de page > Download Link: CFScript Branche tous les disques amovibles que tu possèdes avant de commencer (lecteur flash/disque dur etc..) afin de désinfecter. Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaitre: au message qui apparait (Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt 2) Lance HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique sur Generate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport, copie le et poste le ici. @+

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier Msn , Office se ferment seuls (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: Étape 1: -Télécharge ATF Cleaner by Atribune sur ton bureau. -Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads). 4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants. Ne pas lancer le scan tout de suite ! Étape 3: Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\Documents and Settings\Turhan\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V\nibble[1].exe C:\WINDOWS\Help\mwrem.cin Double-clique sur OTMoveIt.exe afin de lancer le programme. Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée Fais un Clique-droit sur le cadre de gauche puis choisis Coller. Clique à présent sur le bouton "MoveIt!". Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ Le nom du rapport est la date de sa création. Étape 4: Redémarre le PC, impérativement en mode sans échec. Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement > Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur la touche [Entrée]. Choisis ton compte usuel, et non Administrateur Étape 5: Double-clique sur ATF Cleaner afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Étape 6: Du mode Sans Échec, voici comment utiliser escan antivirus toolkit : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse. allez courage: ca doit t'en débarrasser!

Ahhh ok ca change tout! Tu élimineras le dossier entier à la fin Encore des fichiers à éliminer et un outil a passer pour nettoyer en profondeur... je te poste ca dans 5 mn

ComboFix a fait du nettoyage, mais il en reste! je te répond sous peu Mr Furtif

Donc il a réapparu au démarrage ? Tu vois l'intérêt du parefeu maintenant ? avec le parefeu de Windows, il n'aurait rien vu! Ca empêche aux malwares présents sur le pc de se connecter et de ramener des amis (ou d'expédier des infos...) je te prépare une petite procédure... as tu déjà tenté d'éliminer ce fichier en mode sans échec ?

salut rien de visible sur ce rapport non plus ! Fais le test en ligne par précaution (et par curiosité): ca ne prend vraiment qu'une petite minute! Pour le problème de mise à jour, est ce que tu reçois un message du type "Le programme de mise a jour n'a pas pu établir la connexion avec le serveur" ? Fais un scan en ligne avec Panda: http://www.nanoscan.com/as/v1/principal.aspx?Lang=en Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054 Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index @+

ok pour Zone Alarm le parefeu!! sinon tu risques gros! c'est rapide et avec le tuto, c'est tout simple. Ne fais pas l'impasse sur cette étape! Souvent, la désinfection foire car le pc a des ports ouverts et est du coup vulnérable. Attend bien sûr la fin du scan Kaspersky et d'avoir posté le rapport avant de faire ceci > -Télécharge OTMoveIt (par OldTimer). Sauvegarde-le sur ton Bureau. Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\nibble.exe Double-clique sur OTMoveIt.exe afin de lancer le programme. Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée Fais un Clique-droit sur le cadre de gauche puis choisis Coller. Clique à présent sur le bouton "MoveIt!". Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ Le nom du rapport est la date de sa création. Il n'y a aucun firewall sur le pc (tu n'as pas le SP2) mais même celui intégré au SP2 n'est pas efficace de toute façon (il ne filtre pas les flux sortants du pc!) on verra après pour Norton

Merci pour les précisions Rien de mauvais non plus sur ce rapport! Par contre, il y a du Symantec! (trace de ton ancien antivirus). 1) Ouvre Hijackthis et clique sur "Open the misc tools section"=> puis "Delete a file on reboot". la fenêtre "Enter File to delete on reboot" va s'ouvrir te permettant de surfer sur ton disque dur. Clique une fois sur le fichier C:\WINDOWS\nibble.exe Clique sur le bouton Ouvrir (en bas de la fenêtre) une fois le fichier sélectionné. Une fenêtre va s'ouvrir et il te sera demandé si tu veux redémarrer le pc : clique sur le bouton Oui Le pc va à présent redémarrer Une fois le pc redémarré, assure toi que le fichier ait bien disparu. 2) Fais un scan en ligne Kaspersky avec Internet Explorer : Clique sur Clique maintenant sur J'accepte. Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. Patiente pendant l'installation des Mises à jour. Choisis par la suite l'analyse du Poste de travail Sauvegarde puis colle le rapport généré en fin d'analyse. AIDE : Configurer le contrôle des ActiveX Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Pour te débarrasser des restes de Norton > Télécharge Norton_Removal_Tool sur ton bureau. Double clique sur l'icône de Norton Removal tool pour lancer l'utilitaire. Suis les indications à l'écran : il est possible que tu doives redémarrer plusieurs fois. @+ EDIT > n'oublie pas d'installer le firewall: fais le en priorité !!! (oui je sais , j'insiste!!)

Non, c'est inutile Par contre, ce fichier est très peu détecté, et il m'en faudrait une copie pour analyse stp > 1) Rend toi à la page suivante => Sous le champs :"Veuillez sélectionner votre fichier:" clique sur le bouton "Parcourir" et recherche le fichier nibble.exe qui se trouve dans C:\WINDOWS\ Une fois le fichier pointé avec la souris, clique sur le bouton Ouvrir Dans le champs:"Veuillez indiquer ci-dessous le message destiné à notre équipe:" copie/colle la note suivante=> Clique enfin sur le bouton Envoyer 2) Poste moi stp un rapport comme ceci > Lance HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique sur Generate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport, copie le et poste le ici. Quelques question > Dis moi: est ce que tu viens de formater et de réinstaller Windows ? je suis étonné de ne rien trouver dans tes rapports! (tant mieux!). Si tu veux conserver ton système en bon état, installe d'urgence le parefeu!! c'est la protection la plus importante!! (voir plus haut). Qu'est ce que tu as désactivé avec le logiciel autoruns ?